Pagbubunyag ng Vulnerability sa CometBFT
Nagsiwalat ang mananaliksik na si Doyeon Park ng isang mataas na panganib na CometBFT zero-day vulnerability na maaaring huminto sa mga Cosmos chain na nagse-secure ng higit sa $8 bilyon, na nagbigay-diin sa mga kakulangan sa pagbubunyag sa pangunahing imprastruktura ng crypto.
Kritikal na Kahinaan
Isang kritikal na kahinaan sa CometBFT consensus layer ng Cosmos ang opisyal na inihayag ni Park, na nagdulot ng mga bagong tanong tungkol sa mga nakokoordinang kasanayan sa pagbubunyag sa pangunahing imprastruktura ng blockchain. Sinabi ni Park na ang bug, na may rating na CVSS 7.1 (Mataas), ay maaaring magdulot ng pagkaantala sa mga node sa mga Cosmos-based chain sa panahon ng block synchronization phase, na maaaring makagambala sa mga network na sama-samang nagse-secure ng higit sa $8 bilyon sa on-chain na halaga.
“Nagsiwalat ako ng isang 0-day vulnerability sa Cosmos consensus layer (CometBFT). Ito ay isang isyu na may CVSS 7.1 (Mataas) na maaaring magdulot ng pagkaantala sa mga node sa ecosystem ng Cosmos—na nagse-secure ng higit sa $8B+ sa mga asset—sa panahon ng block synchronization phase. Gayunpaman, ang direktang pagnanakaw ng asset ay…”
Mga Panganib at Epekto
Sa isang post sa X, isinulat ni Park na ang isyu ay hindi nagpapahintulot ng “direktang pagnanakaw ng asset,” ngunit nagbabala na ang paghinto o pagkaantala ng produksyon ng block sa maraming chain ay nananatiling isang seryosong panganib sa operasyon at ekonomiya para sa mga validator, aplikasyon, at mga gumagamit.
Idinagdag ni Park na pinili nilang isiwalat ang exploit sa publiko lamang pagkatapos na mabigo ang mga pagtatangkang lutasin ang isyu sa pamamagitan ng mga karaniwang nakokoordinang channel ng pagbubunyag ng kahinaan dahil sa “kakulangan ng kooperasyon” mula sa vendor.
Ripple Effect sa Ecosystem
Dahil ang CometBFT ang nagsisilbing pundasyon ng consensus para sa maraming Cosmos-SDK-based chain, ang pagkaantala sa block sync ay maaaring magdulot ng ripple effect sa mas malawak na ecosystem, na nakakaapekto sa lahat mula sa IBC transfers hanggang sa mga DeFi protocol na itinayo sa mga apektadong network.
Kahit na walang pondo na nasa agarang panganib, ang patuloy na pagkaantala ng node ay maaaring mag-trigger ng mga emerhensiyang pamamahala, mga debate sa slashing, at mga pagkaabala sa likwididad, lalo na sa mga chain na nagsisilbing pangunahing routing hubs o nagho-host ng dollar-denominated stablecoins.
Transparency at Seguridad
Ang desisyon ni Park na lumabas sa publiko ay nagha-highlight ng tensyon sa pagitan ng transparency ng open-source at ang pangangailangan na tahimik na ayusin ang mga kritikal na bug sa mga sistemang ngayon ay nagse-secure ng multi-bilyong dolyar na mga pool ng asset. Para sa mga stakeholder ng Cosmos, ang insidente ay malamang na magpabilis ng mga panawagan para sa mas pormal na mga proseso ng tugon sa seguridad at mas malinaw na mga inaasahan sa mga timeline ng pagbubunyag para sa mga kahinaan sa consensus layer.
